Дозволити користувачеві додавати комп’ютери до домену Active Directory, Блог

Про АйТі та навколо айтишні теми

Дозволити користувачеві додавати комп'ютери до домену Active Directory

В рамках оптимізації навантаження на тех. підтримку на підприємстві прийнято рішення про делегування деяких обов'язків на довірених користувачів (далі – уповноважених). Одним із таких завдань буде додавання та видалення комп'ютерів у домені Active Directory.

За промовчанням, якщо особливо не змінювати стандартні політики безпеки домену, рядовий користувач без проблем зможе додати комп'ютер до домену корпоративної мережі. Але є невелике обмеження, він зможе додати лише 10 комп'ютерів. Якщо цю квоту буде перевищено, користувач отримає повідомлення про помилку:

«Комп'ютер не може бути приєднаний до домену. На цьому домені перевищено максимальну кількість облікових записів. Зверніться до системного адміністратора з проханням скасувати це обмеження або збільшити значення.»

«Your computer could not joined to the domain. Ви будете вирівнювати максимальне число комп'ютерних акцій, які ви можете створити в цьому будинку. Contact your system administrator has this limit reset or increased.»

Бувають випадки, що користувачу вдається обійти це обмеження та кількість комп'ютерів, яких він додав до домену, вже перевищила кілька десятків. Магії тут немає, просто потрібно зрозуміти принцип дії цього обмеження. Ілля Сазонов у своєму блозі дуже виразно про це розповів:

Стало ясно, що й користувач додає комп'ютери домен, тобто. створює облікові записи комп'ютерів в Active Directory, а доменний адміністратор їх після цього видаляє, цей користувач може і відчути наявність цієї квоти.

Аби вирішити поставленої завдання такий спосіб підходить, т.к. через великеКількість робочих станцій дуже скоро уповноважені зіткнутися з перевищенням ліміту.

  1. Попередньо створювати обліковий запис комп'ютера
  2. Надати користувачеві дозвіл на додавання комп'ютерів до домену
  3. Збільшення квоти

З цих варіантів для вирішення мого завдання підходить лише другий. Прикинувши все за і проти, вирішив впроваджувати.

1. Створив окрему групу для уповноважених у AD –Add_PC_in_Domen.

2. У вікні оснащення «Active Directory — користувачі та комп'ютери », у менюВиглядвибирав командуДодаткові функціїтак, щоб при натисканні кнопкиВластивостібуло видно вкладкаБезпека.

дозволити

3. Перейшов уВластивості контейнераКомп'ютери, вкладкаБезпекаДодатково. Додав до списку дозволу нову групуAdd_PC_in_Domen, у списку дозволів для цієї групи поставив дві галки -Створення об'єктів комп'ютератаВидалення об'єктів комп'ютера.

додавати

Залишилося додати довірених користувачів до групи. Члени цієї групи тепер зможуть безперешкодно додавати комп'ютери до домену.

Як заборонити користувачам додавати комп'ютери до домену

Потрібно групіпройшли перевірку поставити явну заборону наСтворення об'єктів комп'ютера, як показано на скріншоті

комп